Engie sort du viseur de la CNIL. Le fournisseur d'énergie a apporté des corrections pour être conforme au RGPD. Les autorisations de collecte de données à travers le compteur Linky ont été ajustées.

Après EDF, c‘est au tour d‘Engie de sortir du collimateur de la Commission nationale de l‘informatique et des libertés (CNIL). Dans un communiqué paru le 6 mai 2021, l‘autorité de contrôle responsable de la protection des données personnelles a annoncé la levée de la mise en demeure qui visait le fournisseur d‘énergie et son usage du Linky. Celui-ci applique mieux le Règlement général sur la protection des données (RGPD).

La CNIL indique que les corrections apportées par Engie à la suite d‘un contrôle dans ses locaux lui apparaissent satisfaisantes. Une nouvelle politique de conservation des données de consommation est en place, et la durée de conservation est désormais cohérente à ses finalités. En conséquence, la présidente de la CNIL, Marie-Laure Denis, a décidé de clore la mise en demeure, ouverte en février 2020.

Un recueil incorrect des données à la demi-heure près

Comme avec EDF, le nœud du problème résidait dans la façon dont Engie recueillait le consentement individuel pour effectuer une collecte de données de consommation avec une précision à la demi-heure près. Par ailleurs, Engie conservait ces informations sur une période de temps trop longue. Trois mois étaient alors laissés à Engie pour redresser le tir, délai qui a ensuite été prolongé à cause de la pandémie.

Dans ses observations, la CNIL explique qu‘Engie « a mis en ligne un nouveau parcours de consentement dont il ressort clairement que le client peut consentir au suivi de sa consommation quotidienne sans devoir également consentir au suivi de sa consommation à la demi-heure ». Le suivi à la demi-heure est toujours possible, mais dépend cette fois d’un consentement spécifique et explicité.

Linky
Un compteur Linky installé. // Source : Guilhem Vellut

Le suivi à la demi-heure de la consommation électrique s’avère plus sensible que les autres modes de collecte, rappelait la CNIL lors de sa mise en demeure ciblant EDF et Engie. Ces données « peuvent révéler des informations sur [la vie privée des personnes] (heures de lever et de coucher, périodes d’absence, éventuellement le nombre de personnes présentes dans le logement) ».

La publication des mises en demeure visant les entreprises n’est pas systématique. La CNIL fait toutefois exception de temps à autre, selon les cas de figure. Dans le cas d’Engie et d’EDF, cela lui apparaissait justifié compte tenu du nombre de personnes concernées par les compteurs Linky. Des millions de ces appareils sont déployés dans les foyers ou sont en train de l’être.

Partager sur les réseaux sociaux

La suite en vidéo